Improve CA documentation
This commit is contained in:
parent
f7605ae672
commit
fdb04fc9a4
@ -236,7 +236,7 @@ Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei die
|
|||||||
|
|
||||||
\textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen über den vorgegebenen Standardwert hinaus gewählt werden.
|
\textbf{Hinweis}: Die Gültigkeitsdauer kann nach Ermessen der CA-Betreiber in begründeten Einzelfällen über den vorgegebenen Standardwert hinaus gewählt werden.
|
||||||
Insbesondere bei der Ausstellung von Serverzertifikaten ist dieser Schritt sinnvoll.
|
Insbesondere bei der Ausstellung von Serverzertifikaten ist dieser Schritt sinnvoll.
|
||||||
Bei der Wahl einer erhöhten Gültigkeitsdauer wird eine maximale Laufzeit von 730 Tagen (etwa 2 Jahren) wird empfohlen.
|
Bei der Wahl einer erhöhten Gültigkeitsdauer wird empfohlen, eine maximale Gültigkeitsdauer von 730 Tagen (etwa 2 Jahren) nicht zu überschreiten.
|
||||||
In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt.
|
In diesem Beispiel wird ein Serverzertifikat mit einer Laufzeit von 730 Tagen ausgestellt.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de
|
EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de
|
||||||
@ -244,21 +244,17 @@ EASYRSA_CERT_EXPIRE=730 ./easyrsa sign-req server aither.inform.hs-hannover.de
|
|||||||
|
|
||||||
|
|
||||||
\chapter{Erzeugen der CRL}
|
\chapter{Erzeugen der CRL}
|
||||||
Der VPN-Server verwendet die von der CA ausgestellte CRL zur Überprüfung von Clientzertifikaten.
|
Der OpenVPN-Server verwendet die von der CA ausgestellte CRL zur Überprüfung der Gültigkeit von Clientzertifikaten.
|
||||||
In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch \texttt{verify-crl /path/to/crl.pem} angegeben.
|
In der Konfigurationsdatei des OpenVPN-Servers wird die CRL-Datei durch die Option \texttt{verify-crl /path/to/crl.pem} angegeben.
|
||||||
|
|
||||||
Somit können durch die CA widerrufene Zertifikate nicht mehr zur Anmeldung am VPN-Dienst benutzt werden.
|
Somit können durch die CA widerrufene Zertifikate nicht mehr zur Anmeldung am VPN-Dienst benutzt werden.
|
||||||
Die folgenden Befehle können zum Generieren der CRL verwendet werden:
|
Mit dem folgenden Befehl wird die CRL erzeugt.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
# Datenbank aktualisieren (regeneriert index.attrs.txt oder so TODO)
|
|
||||||
./easyrsa update-db
|
|
||||||
|
|
||||||
# CRL erzeugen
|
|
||||||
./easyrsa gen-crl
|
./easyrsa gen-crl
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
|
Ist der private Schlüssel der CA mit einem Passwort geschützt, so wird bei diesem Schritt danach verlangt.
|
||||||
|
|
||||||
\textbf{Achtung:} Der VPN-Server lehnt eine ungültige CRL-Datei ab und verweigert dann den Dienst.
|
\textbf{Achtung:} Der OpenVPN-Server lehnt eine abgelaufene CRL-Datei ab und verweigert dann den Dienst.
|
||||||
Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und auf den VPN-Server übertragen werden.
|
Deshalb sollte die CRL durch die CA regelmäßig erneuert werden und die Kopie der CRL auf dem VPN-Server regelmäßig aktualisiert werden.
|
||||||
Anschließend sollte der VPN-Dienst via \texttt{systemctl reload ...} neu geladen werden.
|
Anschließend sollte der VPN-Dienst via \texttt{systemctl reload ...} neu geladen werden.
|
||||||
Eine Automatisierung dieses Vorgangs wird empfohlen.
|
Eine Automatisierung dieses Vorgangs ist möglich und wird empfohlen.
|
||||||
|
Loading…
Reference in New Issue
Block a user